ព័ត៌មាន

ហេតុអ្វីកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ទាំងអស់មិនត្រូវបាន Cracked?

Saturday, ទី16 March, ឆ្នាំ2019 19:03 pm 0

សម្រាប់អ្នកដែលពិបាកចងចាំពាក្យសម្ងាត់ស្មុគ្រស្មាញឬអ្នកដែលធ្វើការនៅក្រុមហ៊ុន ព័ត៌មានវិទ្យាដែលតម្រូវឲ្យផ្លាស់ប្ដូរពាក្យសម្ងាត់ទៅតាមកាលវិភាគ កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ (password manager) ជាជម្រើសដ៏ល្អ។ កម្មវិធីនោះដំណើរការដោយតម្រូវឱ្យអ្នកចងចាំពាក្យសម្ងាត់មេមួយ។ បន្ទាប់មកកម្មវិធីផ្តល់ឱ្យអ្នកនូវការចូលទៅកាន់គេហទំព័រទាំងអស់ដែលភ្ជាប់ជាមួយគណនីដែលភ្ជាប់ទៅនឹងពាក្យសម្ងាត់មេ។

 image

លើសពីនេះទៅទៀតកម្មវិធីទាំងនេះភាគច្រើនអនុញ្ញាតឱ្យអ្នករក្សាទុកព័ត៌មានបង់ប្រាក់ហើយថែមទាំងអនុញ្ញាតឱ្យភាគីផ្សេងទៀតអាចប្រើវាក្នុងរយៈពេលខ្លីដូចជាការឱ្យកូនស្រីរបស់អ្នកទិញសៀវភៅដែលនាងត្រូវការសម្រាប់សាលារៀន។ កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ពិតជាងាយស្រួលណាស់ ប៉ុន្តែមិនមែនវាមិនចេះខុសនោះទេ។ ហើយនោះមានន័យថាយើងត្រូវមើលឱ្យបានស៊ីជម្រៅពីភាពងាយរងគ្រោះរបស់កម្មវិធី។

image

គោលដៅវាយប្រហារអាចធ្លាយទិន្នន័យ

អ្នកប្រើដែលគិតពិចារណាអំពីការប្រើកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ធម្មតាគ្រាន់តែគិតអំពីភាពវិជ្ជមានរបស់កម្មវិធី។ ប៉ុន្តែរបាយការណ៍ថ្មីមួយពីទីប្រឹក្សាសន្តិសុខឯករាជ្យរបស់អ្នកឃ្លាំមើលសន្តិសុខឯករាជ្យបានរកឃើញថាប្រភេទមេរោគមួយចំនួនអាចបង្ហាញទិន្នន័យអ្នកប្រើដែលបានរក្សាទុកដោយកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ល្បីៗ។

អ្នកស្រាវជ្រាវដែលចូលរួមក្នុងការសិក្សានេះនិយាយថាពួកគេមិនដឹងថាតើ cybercriminals ដឹងយ៉ាងដូចម្តេចអំពីកំហុសដែលពួកគេបានរកឃើញនោះទេ។

យ៉ាងណាក៏ដោយពួកគេផ្តល់អនុសាសន៍ឱ្យអ្នកប្រើមួយចំនួនប្រុងប្រយ័ត្ន:

  • ជ្រើសរើសពាក្យសម្ងាត់មេដែលខ្លាំង (strong password)

  • រក្សាប្រព័ន្ធប្រតិបត្តិការនិង Update កម្មវិធី

  • ដំឡើងកម្មវិធីស្កេនកំចាត់មេរោគ

ការ Hack បានកើតឡើងរួចទៅហើយ

នៅខែឧសភាឆ្នាំ 2017 កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ OneLogin ត្រូវបានគេលួចចូល។ ក្រុមហ៊ុននេះបានបញ្ជាក់ថាការវាយប្រហារនេះអាចអោយ cybercriminals ចូលទៅកាន់ data ទាំងអស់របស់អតិថិជនអាមេរិក ហើយអាចឌីគ្រីបទិន្នន័យដែលបានអ៊ិនគ្រីប។

កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ដ៏ពេញនិយម LastPass ក៏ត្រូវគេ Hack នៅក្នុងឆ្នាំ 2015 ផងដែរ។ ក្រុមហ៊ុននេះបានកត់សម្គាល់ឃើញបញ្ហាបន្ទាប់ពីបានរកឃើញសកម្មភាពចម្លែកនៅលើម៉ាស៊ីន Servers របស់ខ្លួន។  ទោះបីជាពួក Hacker បានលួចយកពត៌មានរាប់បញ្ចូលទាំងអាស័យដ្ឋានអ៊ីម៉ែលនិងពាក្យសម្ងាត់ ក្រុមហ៊ុនបានបញ្ជាក់ថាបានប្រើវិធីសាស្ត្រអ៊ីនគ្រីបមួយដែលហៅថា “Slow Hashing” ដែលបានរក្សា Data និង ពាក្យសម្ងាត់ឲ្យមានសុវត្តិភាព។

កាលពីប៉ុន្មានឆ្នាំមុនអ្នកស្រាវជ្រាវម្នាក់របស់ Google បានជូនដំណឹងដល់ LastPass ទៅនឹងបញ្ហាផ្សេងទៀតទាក់ទងនឹងកម្មវិធី។ បញ្ហានេះអាចត្រូវបានគេរាយការណ៍ថាអនុញ្ញាតឱ្យពួក Hacker ប្រតិបត្តិកូដមេរោគឬលួចពាក្យសម្ងាត់។ ជាសំណាងល្អ LastPass បានជួសជុលវាមុនពេលដែលករណីពិតប្រាកដកើតឡើង។

ទិន្នន័យអាចត្រូវបានធ្លាយដោយវិធីផ្សេងទៀត

វាមិនមែនគ្រាន់តែជាពួក Hacker ដែលបង្កគ្រោះថ្នាក់ដល់ទិន្នន័យអ្នកប្រើប្រាស់របស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់នោះទេ។ នៅក្នុងករណីថ្មីមួយដែលប៉ះពាល់ដល់អ្នកប្រើរាប់លាននាក់ ដោយបញ្ហាម៉ាស៊ីន Server នៅក្នុងកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ដែលហៅថា  Blur ដែលបានរក្សាទុកពាក្យសម្ងាត់ឈ្មោះនិងអាសយដ្ឋានអ៊ីម៉ែលត្រូវបានធ្លាយ។

នៅក្នុងឧទាហរណ៍ថ្មីមួយទៀតកំហុស ដែលមានរយះពេល 16 ខែ ជាប់ទាក់ទងជាមួយកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់របស់ Keeper ត្រូវបានគេចោទថាមិនបានរក្សាទុកពាក្យសម្ងាត់ឡើយ។ អ្នកស្រាវជ្រាវរបស់ Google បានកំណត់អត្តសញ្ញាណកំហុសនេះបាននិយាយថាវានឹងអាចឱ្យគេហទំព័រណាមួយលួចពាក្យសម្ងាត់ដែលបានរក្សាទុកនៅក្នុង Keeper ។

ចំពេលដែលមានភាពចម្រូងចម្រាសជាច្រើន Keeper បានដាក់ពាក្យបណ្តឹងប្រឆាំងនឹងអ្នកកាសែតដែលរៀបរាប់ពីរឿងរ៉ាវក៏ដូចជាវេបសាយដែលជាប់ទាក់ទងគឺ Ars Technica និងអ្នកបោះពុម្ពផ្សាយពត៌មានរបស់ខ្លួន។ Keeper បានអះអាងថារបាយការណ៍នេះជាសេចក្តីថ្លែងការណ៍ក្លែងក្លាយ។

ប៉ុន្តែក្រុមហ៊ុនហាក់ដូចជាបានរៀនមេរៀនរបស់ខ្លួនផងដែរ។ បន្ទាប់ពីឧបទ្ទវហេតុនោះ Keeper បានបង្កើតកម្មវិធីបង្ហាញព័ត៌មានងាយរងគ្រោះក្នុងភាពជាដៃគូជាមួយ Bugcrowd ដែលជាវេទិកា cybersecurity crowdsourced ។ កម្មវិធីនេះគឺជាជំហានមួយនៅក្នុងទិសដៅត្រឹមត្រូវប៉ុន្តែអ្នករិះគន់មួយចំនួនបានបង្ហាញថាមនុស្សអាចមានការស្ទាក់ស្ទើរក្នុងការនិយាយអំពីកំហុសដោយសារតែការធ្លាក់ចុះ បន្ទាប់ពីរបាយការណ៍ស្តីពីភាពងាយរងគ្រោះដែលគេចោទ Keeper ។

អ្នកនៅតែត្រូវការពាក្យសម្ងាត់មេដ៏រឹងមាំ

ដូចដែលបានរៀបរាប់ខាងលើដែលចាប់ផ្តើមដោយការជ្រើសរើសពាក្យសម្ងាត់មេ។ អ្នកមិនគួរជ្រើសរើសពាក្យសម្ងាត់មេដែលងាយស្មានដែលធ្វើឱ្យ hacker កាន់តែងាយស្រួល។ Cybercriminals អាចបំបែកពាក្យសម្ងាត់ខ្លីនិងខ្សោយក្នុងរយៈពេលពី 10 ទៅ 15 វិនាទី។

វាកាន់តែងាយស្រួលសម្រាប់ពួកគេនៅពេលអ្នកជ្រើសរើសពាក្យសម្ងាត់ដោយផ្អែកលើឈ្មោះសត្វឬកូន ៗ ពាក្យវចនានុក្រម និងថ្ងៃខួបកំណើត។

ប្រសិនបើអ្នកជ្រើសប្រើកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ការជ្រើសរើសពាក្យសម្ងាត់មេតែមួយគត់និងពិបាកទាយត្រូវពិតជាមានសារៈសំខាន់។

កាលពីឆ្នាំមុន Virginia Tech បានសហការជាមួយ Dashlane ដែលជាអ្នកគ្រប់គ្រងពាក្យសម្ងាត់ដ៏ពេញនិយមដើម្បីវិភាគពាក្យសម្ងាត់ចំនួន 61 លានពាក្យហើយពួកគេបានរកឃើញបញ្ហាមួយចំនួន។ ការស្រាវជ្រាវបានចង្អុលបង្ហាញថាអាចបំបែកបាន 16 លានពាក្យសម្ងាត់នៅក្នុងការប៉ាន់ស្មានតែ 10 ប៉ុណ្ណោះដែលធ្វើឡើងដោយក្បួនដោះស្រាយពាក្យសម្ងាត់។ ការស្រាវជ្រាវក៏បានគូសបញ្ជាក់ពីរបៀបដែលមនុស្សចូលចិត្តប្រើបច្ចេកទេសហៅថាពាក្យសម្ងាត់ដែលពួកគេបង្កើតពាក្យសម្ងាត់ពីអក្សរជាប់គ្នា។ អ្នកផ្សេងទៀតបានជ្រើសពាក្យសម្ងាត់ដោយផ្អែកលើព័ត៌មានមិនមែនជាឯកជនដូចជាឈ្មោះម៉ាកឬក្រុមកីឡា៕

Tags: